Эксперты «Лаборатории Касперского» зафиксировали новую вредоносную программу, угоняющую мощности систем на базе ОС Windows для майнинга криптовалюты Monero.
В текущей кампании зловред маскируется под легитимные блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS.
Фальшивки распространяются через специально созданные сайты, на которые можно попасть по ссылке из поисковой выдачи.
После запуска вредоносная программа меняет настройки DNS на устройстве и перенаправляет все запросы пользователя на серверы злоумышленников, которые не дают жертве получить доступ к сайтам некоторых антивирусов.
Затем зловред отсылает своим создателям данные зараженной системы и проверяет наличие обновлений.
На следующем этапе фейковый блокировщик запускает модифицированный торрент-клиент Transmission, чтобы скачать модуль для майнинга, уникальный для каждой зараженной машины.
Запуск криптомайнера XMRig происходит под видом легитимной утилиты find.exe. Чтобы обеспечить постоянную работу этого «сервиса», в планировщике Windows создается специальная задача.
С начала февраля «Лаборатория Касперского» зарегистрировала более 7000 уникальных попыток установки поддельных приложений в рамках текущей кампании. В пиковые дни злоумышленники проводили свыше 2500 атак — в основном на территории РФ и других стран СНГ.
Исследователи полагают, что нынешние атаки являются продолжением летней кампании, которую выявила Avast. Тогда злоумышленники распространяли вредоносное ПО под видом установщика антивируса Malwarebytes.
Ранее ForkLog сообщал, что компьютеры на базе macOS долгое время использовались мошенниками для скрытого майнинга криптовалюты. В течение пяти лет программе OSAMiner удавалось избежать обнаружения.
Подписывайтесь на канал ForkLog в YouTube.